不只是云原生 下一代SIEM需要具备的几种能力

今天，SIEM(安全信息事件管理)服务器系统已经成为全球化的企业安全管理团队日常快速准确地处理复杂的威胁安全系统事件的最优先选项之一，不仅可以从IT基础架构中的海量信息资源中收集和分析各种攻击活动，同时也是组织实现安全自动化、DevSecOps、态势感知等安全管理和运营技术的基础。

1、支持云原生和多云部署

传统SIEM通常部署在本地数据中心设备上，本地化部署没有考虑过云计算环境。随着企业云计算应用的快速发展，传统SIEM本地化部署方案难以保护云端应用，也无法解决安全团队面临的云端基础设施监控的挑战。

2、提供全面可观察性

传统的SIEM方案难以在大规模环境下整合企业的所有数字化应用运营数据，因此无法实现全面的可观察性。在数字化发展模式下，企业需要能够将各种数据从安全设备、业务应用、计算终端和网络系统上完整收集起来并汇总到下一代SIEM，这样才能够获得数字化环境的完整视图。

3、支持大数据架构

传统SIEM的主要痛点之一就是难以对快速增长的数据信息进行有效采集和分析处理，不仅处理效率低下，而且还会生成大量误报。因此，下一代SIEM应建立在大数据平台上，不但能够快速处理企业数字化发展中产生的海量数据，并且可以更加合理经济的方式更加的长期更好的存储和使用大量的数据。

4、威胁优先级分析

传统的SIEM方案通常只是将风险级别与攻击阶段进行关联，为每个攻击阶段提供基础的攻陷指标分析，这样就会造成一些后果严重的安全事件告警被淹没，安全运营人员无法确认其收到的告警是否有价值，需要在多个关联平台中，多次进行手工查询与分析。这样不仅浪费了大量的人力物力，而且会导致系统运行效率低下，降低安全运行的成功率。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!